网络安全最全信息安全学习笔记(计算机三级)_三级信息安全技术笔记

  • ID头信息扫描:借助第三方主机,ID头递增1则端口关闭,否则端口开放
  • 隐蔽扫描:绕过安全设备,取得目标主机端口信息
  • SYN|ACK扫描:发送SYN|ACK数据包,不返回信息则端口开放,返回RST则端口关闭
  • FIN扫描:发送FIN数据包,不返回信息则端口开放,返回RST则端口关闭
  • ACK扫描:发送FIN数据包,开放<TLL值64<关闭 关闭<WIN值0<开放
  • NULL扫描:标志位置空,不返回信息则端口开放,返回RST则端口关闭
  • XMAS扫描:标志位全部置成1,不返回信息则端口开放,返回RST则端口关闭

3、DDOS攻击的一般过程:采用C/S部署

  • 通过探测扫描大量主机,寻找可被攻击的目标
  • 攻击有安全漏洞的主机,并设法获取控制权
  • 在已攻击成功的主机中安装客户端攻击程序
  • 利用已攻击成功的主机继续扫描和攻击,从而扩大可被利用的主机
  • 当安装了攻击程序的客户端,达到一定数量后,攻击者在主机端给客户端攻击程序发布命令,同时攻击特定主机

常见的DDOS攻击手段包括:HTTP Flood攻击、SYN FLood攻击、DNS放大攻击

4、拒绝服务攻击的特点

  • 难确认性:用户在得不到及时响应时,很难判断自己是否受到攻击
  • 隐蔽性:正常请求服务,从而隐蔽拒绝服务攻击的过程
  • 资源有限性:计算机的资源时有限的,容易实现拒绝服务攻击的过程
  • 软件复杂性:因难以确保软件没有缺陷,所以攻击者利用软件缺陷进行拒绝服务攻击

5、拒绝服务攻击的方式

  • 同步包风暴(SYN Flood):发送大量的半连接状态的服务请求,使TCP/IP的三次握手无法完成,从而无法建立连接
  • UDP洪水(UDP Flood):利用主机能自动回复的服务,在两台主机之间传送足够多的无用数据流
  • Smurf攻击:将回复地址设置成目标网络广播地址,如果在复杂点就把原地址改为第三方的目标网络
  • 垃圾邮件:耗尽用户信箱的磁盘空间,使用户无法应用这个邮箱
  • 消耗CPU和内存资源的拒绝服务攻击:构造恶意的输入数据,导致目标系统CPU或资源耗尽
  • 死亡之ping:ICMP数据包大于64KB,就会出现内存分配错误
  • 泪滴攻击:暴漏出IP数据包分解与重组的弱点,增加了偏移量
  • 分布式拒绝服务攻击:植入后门程序,然后统一攻击统一目标

6、远程口令破解的流程

  1. 建立与目标网络服务的网络连接
  2. 选取一个用户列表文件及字典文件
  3. 在用户列表文件及字典文件中,选取一组用户名和口令,发送到目标网络服务端口
  4. 检测远程服务返回的信息,确定口令尝试是否成功
  5. 若不成功,再取另一组,重复试验,直到口令用户列表及字典文件选取完毕

7、网络攻击模型 【攻击树杀伤CK】

  • 攻击树模型(又称故障树模型)

可以被red team用来进行渗透测试,同时也可以被blue team用来研究御机制

优:能够采取专家头脑风暴法,并且将这些意见融合到攻击树中去;能够进行费效分析或者概率分析;能够建模非常复杂的攻击场景

缺:由于树结构的内在限制,攻击树不能用来建模多重尝试攻击、时间依赖及访问控制等场景;不能用来建模循环事件;对于现实中的大规模网络,攻击树方法处理起来将会特别复杂。

  • MITRE  ATT&CK模型(又称攻击矩阵模型)

基于MITRE  ATT&CK常见的应用场景主要有网络红蓝对抗模拟、网络安全渗透测试、网络防御差距评估、网络威胁情报收集等

  • 网络杀伤链

该模型将网络攻击活动分成:目标侦察、武器构造、载荷投送、漏洞利用、安装植入、指挥和控制、目标行动等七个阶段。

第三章 密码名词

1、名词解析

aadcb0e21b7f4e969fbce91dfb57073c.png

9797d75f9a7d49b19a4fadee9b4989fd.png

2、国产密码算法主要有:

SM1分组密码算法(对称、128)、SM2椭圆曲线公钥密码算法(非对称、256)、SM3密码杂凑算法(杂凑、256)、SM4分组算法(对称、128)、SM9标识密码算法

3、密码体制分类

  • 私钥密码体制

速度快、秘钥管理问题、秘钥保管量多

DES、IDEA、AES等

  • 公钥密码体制

秘钥分发方便、秘钥保管量少、支持数字签名

包括椭圆曲线密码、ELGamal、RSA

  • 混合密码体制

私钥+公钥(利用公钥体制来解决私钥体制存在的问题)

4、密码分析攻击的五种类型:

    1. 唯密文攻击:只知道密文
    2. 已知明文攻击:只知道明文和对应明文(固定片段)
    3. 选择明文攻击:知道自己选定的明文和对应的密文(可自选任意明文)
    4. 选择密文攻击:知道自己选定的密文和明文
    5. 密文验证攻击:密码分析者对于任何选定的密文,能够得到该密文“是否合法”的判断

5、密码管理

包括:秘钥管理、密码管理政策、密码测评

283ba8b99b214033a6e44e89dfcdd8d6.png

6、常见密码算法(加密算法可逆,哈希算法不可逆)

  • DES 分组64 秘钥56
  • IDEA 分组64 秘钥128
  • AES 分组128 秘钥支持128、192、256
  • RSA(非对称)基于大整数因子分解的困难性
  • Hash函数
    • 相同的明文输入得到相同的Hash值
    • Hash值越大的Hash函数安全性越高
    • Hash函数名 分组大小 Hash值大小(消息摘要)
    • MD5 512bit 128bit
    • SHA 512bit 160bit
    • SM3 512bit 256bit
  • 数字证书内容:版本号、序列号、有效期、主体、主体唯一标识、主体公钥信息、颁发者、颁发者唯一标识、签名算法、扩展项
  • 数字证书的应用场景及目标

CA:认证授权中心

数字证书由证书认证机构(CA)签名的

第四章 网络安全体系

1、网络安全体系:网络安全保障系统的最高层概念抽象

特征

  • 整体性:网络安全单元按照一定的规则,相互依赖、相互作用而形成人机物一体化的网络安全保护方式
  • 协同性:通过各种安全机制的相互协作,构建系统性的网络安全保护方案
  • 过程性:网络安全体系提供一种过程式的网络安全保护机制,覆盖保护对象的全生命周期
  • 全面性:网络安全体系基于多个维度、多个层面对安全威胁进行管控
  • 适应性:网络安全体系能够适应网络安全威胁的变化和需求,动态的

2、BLP机密性模型

Bell-LaPadula模型符合军事安全策略的计算机安全模型,用于防止非授权信息的扩散

BLP模型的2个特征:简单安全特性、*特性

  • 简单安全特性:操作者读访问资源时,操作者(主体)的安全级别和范畴都大于等于资源(客体)(主体只能向下读,不能向上读——>下读)
  • *特性:操作者写访问资源时,操作者(主体)的安全级别和范畴都≤资源(客体)(主体只能向上写,不能向下写——>上写)

Biba完整性模型:不能下读,不能上写,不能调用;

  • 简单安全特性:主体的完整性级别和范畴≥客体;
  • *特性:主体的完整性级别
  • 调用特性:主体完整性级别

14aa1d12a45e4536a91e835aed7ac3cc.png

3、信息保障模型P2DR、PDRR、WPDRRC模型

  • P2DR模型 策略
  • PDRR模型 保护 检测 响应 恢复
  • WPDRRC模型 预警 反击

4、能力成熟度模型

网络安全方面的成熟度模型主要有:SSE-CMM、数据安全能力成熟度模型、软件安全能力成熟度模型

  • 能力成熟度模型 分为五级:1级—非正式执行、2级—计划跟踪、3级—充分定义、4级—量化控制、5级—持续优化
  • 系统安全工程能力成熟度模型 包括:工程过程类、组织过程类、项目过程类
  • 数据安全能力成熟度模型 数据安全能力从组织建设、制度流程、技术工具、人员能力四个维度评估
  • 软件安全能力成熟度模型 分为五级:1级—补丁修补;2级—渗透测试、安全代码评审;3级—漏洞评估、代码分析、安全编码标准;4级—软件安全风险识别、SDLC(软件开发生命周期)实施不同安全检查点;5级—改进安全风险覆盖率、评估安全差距

5、网络安全等级保护体系应用参考

  • 等级保护制度是中国网络安全保障的特色和基石
  • 网络安全等级保护工作主要包括定备案、建设整改、等级测评、监督检查五个阶段
  • 定级对象的安全保护等级分为五个,第一级用户自主保护级、第二级系统保护审计级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级。

6、网络安全等级保护2.0的主要变化包括:

  • 扩大了对象范围
  • 提出1个中心,三重防护体系架构
  • 强化了可信计算机技术使用的要求,增加了“可信验证”控制点

7、软件安全能力成熟度模型

分为五级

  • CMM1级——补丁修补
  • CMM2级——渗透测试、安全代码评审
  • CMM3级——漏洞评估、代码分析、安全编码标准;
  • CMM4级——软件安全风险识别、SDLC实施不同安全检查点
  • CMM5级——改进软件安全风险覆盖率 评估安全差距

8、四种模型区分

  • Bell-Lapudula模型基于强制访问控制系统,以敏感度来划分资源的安全级别。
  • Biba访问控制模型对数据提供了分级别的完整性保证,类似于BLP保密模型,也使用强制访问控制系统。
  • Clark-Wilson模型是一种广泛应用于商务领域的信息安全模型,能够较好满足企业信息系统所追求的完整性安全需求,它的完整性保证在早期是通过遵循一些静态的授权约束来实现的。
  • ChineseWall安全策略的基础是客户访问的信息不会与目前他们可支配的信息产生冲突。用户必须选择一个他可以访问的区域,必须自动拒绝来自其他与用户的所选区域的利益冲突区域的访问,同时包括了强制访问控制和自主访问控制的属性,属于混合策略模型

第五章 物理安全

1、物理安全威胁

自然安全威胁:地震、洪水、鼠害、雷电

人为安全威胁:盗窃、爆炸、毁坏、硬件攻击

常见的硬件攻击技术:硬件木马(恶意电路)、硬件协同的恶意代码(实现越权访问)、硬件安全漏洞利用(熔断幽灵)、基于软件漏洞合计硬件实体(震网病毒)、基于环境攻击计算机实体。

44a04e321928475ea81c9dc9c55fce4a.png

2、物理安全规范

《信息系统物理安全技术要求(GB/T210522007)》则将信息系统的物理安全进行了分级,并给出设备物理安全、环境物理安全、系统物理安全的各级对应的保护要求

信息系统物理安全技术只涉及前四级

  1. 第一级物理安全平台为第一级用户自主保护级提供基本的物理安全保护
  2. 第二级物理安全平台为第二级系统审计保护级提供适当的物理安全保护
  3. 第三级物理安全平台为第三级安全标记保护级提供较高程度的物理安全保护
  4. 第四级物理安全平台为第四级结构化保护级提供更高程度的物理安全保护。

3、机房功能区域组成

按照《计算机场地通用规范(GB/f12887-2001)》的规定,计算机机房可选用下列房间(允许一室多用或酌情增减)

  • 主要工作房间:主机房、终端室等
  • 第一类辅助房间:低压配电间、不间断电源室、蓄电池室、空调机室、发电机室、气体钢瓶室、监控室等;
  • 第二类辅助房间:资料室、维修室、技术人员办公室;
  • 第三类辅助房间:储藏室、缓冲间、技术人员休息室、盥洗室等;

4、机房等级划分与数据中心等级

机房

  • A级 造成严重损害、对机房安全又严格要求、有完善的机房安全措施
  • B级 造成较大损害、对机房安全有较严格要求、有教完善的机房安全措施
  • C级 不属于A、B级的情况

数据中心等级

  • A级 造成重大的经济损失、造成公共场所秩序严重混乱
  • B级 造成较大经济损失、造成公共场所秩序混乱
  • C级 不属于A、B级的情况

5、IDC互联网数据中心

IDC组成:机房基础设施、网络系统、资源系统、业务系统、管理系统和安全系统

IDC机房等级划分:R1、R2、R3;三个级别

机房基础设施和网络系统可用性能力

R1 具备一定的冗余能力 不应小于99.5%

R2 具备冗余能力 不应小于99.9%

R3 具备容错能力 不应小于99.99%

第六章 认证

1、认证技术相关的名词解释

  • 认证机制:是网络安全的基础性保护措施,是实施访问控制的前提(认证机制=严重对象+认证协议+鉴别实体)
  • 认证:A向B证明自己身份的过程(认证=表示+鉴别)
  • 验证对象:需要被鉴别的对象(A 声称者)
  • 鉴别实体:根据验证对象所提供的认证依据,给主身份的真实性或属性判断(B 验证者)
  • 标识:用来代表实体对象的身份表示
  • 鉴别:利用口令、电子签名等对声称者的属性进行识别验证的过程
  • 认证协议:A和B之间进行认证信息交换所遵从的规则
  • 认证依据:例如鉴别所用到的口令、电子签名等

2、认证类型与认证过程

认证类型:单向认证、双向认证、第三方认证

  • 单向认证:验证者对声称者进行单方面的鉴别,而声称者不需要识别验证者的身份
    • 实现单向认证技术方法有:基于共享秘钥、基于挑战响应(挑战:一个随机数 响应:对随机数的响应)
  • 双向认证:是指在认证过程中验证者对声称者进行单方面的鉴别,同时,声称者也对验证者的身份进行确认。
  • 第三方认证:是指两个实体在鉴别过程中通过可信的第三方来实现。第三方与每个认证的实体共享秘密,实体A和实体B分别与它共享秘密密钥KPA、KPB。当实体A发起认证请求时,实体A向可信第三方申请获取实体A和实体B的秘钥KAB,然后实体A和实体B使用KAB加密保护双方的认证消息。

3、Kerberos认证技术

Kerberos是一个网络协议,其目标时使用密钥加密为客户端/服务器应用程序提供强身份认证。其技术原理是利用对称密码技术(DES加密算法),使用可信的第三方来为应用服务器提供认证服务,并在用户和服务器之间建立安全信道。

一个Kerberos系统涉及四个基本实体

  1. Kerberos客户机,用户用来访问服务器设备;
  2. AS认证服务器,识别用户身份并提供TGS会话密钥;
  3. TGS票据发放服务器,为申请服务的用户授予票据;
  4. 应用服务器,为用户提供服务的设备或系统;

票据是用于安全的传递用户身份所需要的信息的集合,主要包括客户方实体名称、地址

事件戳、票据生存期和会话密钥等内容。

4、PKI公钥基础设施

PKI就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施

PKI各实体的功能分别叙述如下:

客户端:指需要基于PKI安全服务的使用者,包括用户、服务进程等

RA:证书登记权威机构,将公钥和对应的证书持有者的身份及其他属性联系起来,进行注册和担保;注册机构提供用户和CA之间的一个接口,他获取用户信息并进行资格审查,然后向CA发起出证书的请求。较小的机构,可以有CA兼任RA的工作

CA:证书授权机构,主要进行证书的颁发、废止和更新;

目录服务器:CA通常使用一个目录服务器,提供证书管理和分发的服务。

终端实体:指需要认证的对象,例如服务器、打印机、E-mali地址、用户等

5、认证技术方式

  • 用户认证
    • 用于鉴别用户的身份是否是合法用户;
  • 消息认证
    • 验证所收到的消息确实是来自真正的发送者且未被修改的消息,也可以验证消息的顺序和及时性。

第七章 访问控制参考模型

1、访问控制参考模型组成要素

主体--是客体的操作实施者。通常是人、进程或设备等,一般是代表用户执行操作的进程。

客体--是被主体操作的对象。对一个客体的访问隐含着对其信息的访问

参考监视器--是访问控制的决策单元和执行单元的集合体

访问控制数据库--主体访问客体的权限及其访问方式的信息,提供访问控制决策判断的依据,也称为访问控制策略库

审计库--存储主体访问客体的操作信息,包括访问成功、访问失败以及访问操作信息。

de4052128c2a4fb38c328a8edf93c79a.png

2、自主访问控制

按照自己的安全策略授予系统中的其他用户对“客体”的访问权

  • 基于行的自主访问控制 概念:在每个主体上附加一个它可以访问的“客体明细表”【主体+客体明细表】
  • 基于列的自主访问控制 概念:在每个客体上都附加一个可以访问它的主体明细表【客体+主体明细表】

3、口令安全管理遵守的原则

  • 口令选择应至少8个字符以上,应选用大小写字母、数字、特殊字符组合;
  • 禁止使用与账号相同的口令;
  • 更换系统默认口令,避免使用默认口令;
  • 限制账号登录次数,建议为3次;
  • 禁止共享账号和口令;
  • 口令文件应加密存放,并只有超级用户才能读取;
  • 禁止以明文形式在网络上传递口令;
  • 口令应有时效机制,保证经常更改,并且禁止重用口令;
  • 对所有的账号运行口令破解工具,检查是否存在弱口令或没有口令的账号;

4、Linux访问控制

每个文件上使用“9比特位模式”来标识访问控制权限信息,这些二进制位标识了“文件的拥有者与文件拥有者同组的用户、其他用户”对文件所具有的访问权限和方式。

第八章 防火墙

1、防火墙概念

为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离。网络的安全信任程度和需要保护对象,认为地划分若干区域,这些安全区域有:

公共外部网络 Internet

内联网 如某个公司或组织的专用网络,网络访问限制在组织内部;

外联网 内联网的扩展延伸,常用作组织与合作伙伴之间进行通信;

军事缓冲区域,简称DMZ,该区域是介于内部网络和外部网络之间的网络段,常放置公共服务设备,向外提供信息服务。

2、防火墙的功能

过滤非安全网络访问:将防火墙设置为只允许符合安全策略的能通过

限制网络访问:例如可以制定外网只能访问DMZ区的设备or特定主机

网络访问审计:防火墙是内外网唯一的网络通道,通过防火墙日志可以掌握网络使用情况

网络带宽控制:防火墙可以控制网络带宽实现Qos保障

协同防御:可以和IPS设备通过交换信息来实现联动

3、防火墙安全风险

  • 防火墙功能缺陷:导致一些网络威胁无法阻断。
    • 不能完全防止感染病毒的软件或文件传输;
    • 不能防止基于数据驱动式的攻击;
    • 不能完全防止后门攻击
  • 网络安全旁路:防火墙只能对通过它的网络通信包进行访问控制,而未经过它的网络通信就无能为力
  • 防火墙安全机制形成单点故障和特权威胁:所有网络流量都要经过防火墙,一旦防火墙管理失败,就会对网络造成单点故障和网络安全特权失控
  • 防火墙无法有效防范内部威胁:内网用户操作失误,攻击者就能利用内网用户发起主动网络连接
  • 防火墙效用受限与安全规则:依赖与安全规则的更新

4、包过滤技术

包过滤是在IP层实现的防火墙技术,包过滤根据包的源IP地址、目的IP地址、源端口、目的端口、包传递方向等包头信息判断是否允许包通过。

包过滤的规则由规则号、匹配条件、匹配操作三部分组成

  • 匹配条件:源IP地址、目标IP地址、源端口号、目标端口号、协议、通信方向等
  • 匹配操作:拒绝、转发、审计

包过滤防火墙技术优点:低负载、高通过率对用户透明。

包过滤技术的弱点:不能再用户级别进行过滤

5、状态检查技术

基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。

处理包流程:

  • 接受到数据包
  • 检查数据包的有效性,若无效,则丢掉数据包并审计。
  • 查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
  • 当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。

6、防火墙防御体系结构类型

基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。

7、防火墙的部署

f6da7de7bc844347b22ca6f0ac43659c.png

第九章 VPN、IPsec、SSL

1、VPN类型

链路层VPN ATM、Frame Relay、多协议标签交换MPLS、PPTP、L2TP

网络层VPN 受控路由过滤、隧道技术(IPsec、GRE)

传输层VPN SSL/TSL

VPN的实现技术:密码算法、秘钥管理、认证访问控制、IPsec、SSL、PPTP、L2TP

2、IPsec

组成:

      • 认证头AH------保证IP数据包的完整性和数据源认证代表协议:MD5、SHA
        • 封装安全负荷ESP------将IP数据包进行封装加密处理,生成带有ESP协议的信息的新IP包,防重放攻击代表协议:DES、3DES、AES

工作模式:透明模式—只保护IP包中的数据域

随到模式—保护IP包的包头+数据

      • 秘钥交换协议------用于生成和分发秘钥 代表协议:DHCP

3、SSL

传输层安全协议,用于构建客户端和服务器之间的安全通道,包含两层协议:

上层:SSL握手协议、SSL密码变化协议和SSL报警协议

下层:SSL记录协议;为高层协议提供基本的安全服务,比如分块、压缩、计算添加HMAC、加密等

SSL握手协议:认证、协商加密算法和密钥

SSL密码规格变更协议:保护客户端和服务器双方应该每隔一段使劲按改变加密规范

SSL报警协议:通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告

SSL协议提供三种安全通信服务:

  • 保密性通信:握手协议产生秘密密钥后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如DES、AES等
  • 点对点之间的身份认证:采用非对称式密码算法,例如RSA、DSS等
  • 可靠性通信:信息传送时包含信息完整性检查,使用有密钥保护的消息认证(Message Authentication Code,MAC),MAC的计算采用安全杂凑函数例如SHA、MD5

第十章 入侵检测

1、入侵检测及入侵检测模型

入侵:违背访问目标的安全策略的行为

判断入侵的依据:对目标的操作是否超出了目标的安全策略范围

入侵检测:通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。

入侵检测系统:具有入侵检测功能的系统称为入侵检测系统,称为IDS。

入侵检测系统的目的:发现违背安全策略or危害系统安全的行为

通用入侵检测框架模型,简称为CCIDF。该模型认为入侵检测系统包括:事件产生器、事件分析器、响应单元、事件数据库。

ca0662b2cf454222940b290767083e62.png

2、基于误用的入侵检测技术

攻击者常常利用系统和应用软件中的漏洞技术进行攻击

误用入侵检测的前提条件是:入侵行为能够按某种方式进行特征编码

入侵检测的过程实际上是:模式匹配的过程

  • 基于条件概率的误用检测 将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理(概率公式)进行推理,推测入侵行为
  • 基于状态迁移的误用检测 记录系统的一系列状态,检查系统的状态变化发现系统中的入侵行为,这种方式状态特征用状态图描述
  • 基于键盘监控的误用检测 检测用户的击键模式,检索攻击模式库,发现入侵行为(不能检测恶意程序的自动攻击)
  • 基于规则的误用检测 用于规则描述入侵行为,通过匹配规则,发现入侵行为(Snort)

3、基于异常的入侵检测技术

异常检测方法:建立系统正常行为的“轨迹”,定义一组系统正常情况的数值,然后将系统运行时的数据值与所定义的“正常”情况相比较,得出是否有被攻击的迹象

异常检测的前提是异常行为包括入侵行为

  • 基于统计的异常检测方法 利用数学统计理论技术,至于统计的抽样周期可以从短到几分钟到长达几个月甚至更长(系统登录时间、资源被占用的时间等)
  • 基于模式预测的异常检测 事件序列不是随机发生的而是服从某种可辨别的模式,其特点是考虑了事件序列之间的互相联系
  • 基于文本分类的异常检测 将程序的系统调用视为某个文档中的“字”,N此第调用以后形成一个文档分析文档的相似性,发现异常的系统调用,从而检测入侵行为
  • 基于贝叶斯推理的异常检测方法 通过分析和测量,任一时刻的若干系统特征(磁盘读/写操作数量、网络连接并发数),判断是否发生异常

4、入侵检测系统的组成

入侵检测功能模块组成:数据采集模块、入侵分析引擎模块、应急处理模块、管理配置模块、辅助模块

数据采集模块为入侵分析引擎模块提供分析用的数据,包括操作系统的审计日志,应用程序的运行日志和网络数据包等
入侵分析引擎模块是依据辅助模块提供的信息(如攻击模式),根据一定的算法对收集到的数据进行分析, 从中判断是否有人入侵行为出现,并产生入侵警报。该模块是入侵检测系统的核心模块。
应急处理模块为其他模块提供配置服务,是IDS系统中的模块与用户的接口
管理配置模块发生入侵后,提供紧急响应服务,例如闭关网络服务、中断网络连接、启动备份系统等
辅助模块协助入侵分析引擎模块工作,为它提供相应的信息,例如攻击特征库、漏洞信息等。

基于主机的入侵检测系统HIDS

基于网络的入侵检测系统NIDS

基于主机检测的分布式入侵检测系统HDIDS

基于网络的分布式入侵检测系统NDIDS

5、网络入侵检测系统Snort

Snort基于技术原理是通过获取网络数据包,然后基于安全规则进行入侵检测,最后形成报警信息。

Snort由两部分组成:规则头、规则选项。

规则头包含:规则操作、协议、源地址、目的IP地址、网络掩码、源端口、目的端口号信息。

规则选项包含:报警消息、被检查网络包的部分信息、规则应采取的动作(所有Snort规则选项都用“;”隔开,规则选项关键词使用“:”和对应的参数区分)

Snort规则如下所示

ALert tcp any any ➡ 192.168.1.0/24 111(content:“|00 01 86 a5|”;msg:“mountd access”😉

动作 协议 源IP 源端口➡ 目标IP 目标端口(需要匹配的数据包内容;alert动作报警弹出的内容)

规则选项常用的关键字是msg、content。msg用于显示报警信息,content用于指定匹配网络数据包的内容。

sid表示Snort规则id;rev表示规则修订的版本号。

例如:

alert icmp any any ➡192.168.X.Y any(msg:"NMAP ping sweep Scan";dsize:0;sid:10000004;rev:1;)

第十一章 网络物理隔离

1、网络物理隔离系统与类型

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值